Saltar al contenido

¿Buscar actualizaciones de seguridad automáticamente en CentOS o Scientific Linux?

Solución:

Solución 1:

Si absolutamente quieres usar yum security plugin, hay una forma de hacer esto, aunque un poco elaborada. Pero una vez que lo tienes configurado, todo está automatizado.

El único requisito es que deberá tener al menos una suscripción a RHN. Lo cual es una buena inversión en mi opinión, pero vamos al grano.

  1. Una vez que tenga la suscripción, puede usar mrepo, o reposync, para configurar un repositorio de Yum interno, que refleja los repositorios de CentOS. (o simplemente puede usar rsync).
  2. Luego use el script adjunto a esta publicación de la lista de correo, para conectarse periódicamente a su suscripción de RHN, para descargar la información de los paquetes de seguridad. Ahora, tú tienes dos opciones.
    1. Extraiga solo los nombres de los paquetes del archivo “updateinfo.xml” generado. Y use esa información para “buscar” en sus servidores Rpms que necesiten seguridad u otras actualizaciones, usando puppet o cfengine, o ssh-in-a-for-loop. Esto es más simple, te da todo quieres, pero no puedes usar yum security.
    2. La otra opción es utilizar el modifyrepo comando como se muestra aquí, para inyectar updateinfo.xml dentro repomd.xml. Antes Al hacer esto, tendrá que modificar el script de perl para cambiar las sumas de Rpm MD5 dentro del xml, de las sumas de RHN a Centos. Y tendrá que asegurarse de que los repositorios de CentOS realmente tengan todos los Rpms mencionados en updateinfo.xml, ya que a veces están detrás de RHN. Pero está bien, puede ignorar las actualizaciones con las que CentOS no se ha puesto al día, ya que hay poco que pueda hacer al respecto, aparte de construirlas a partir de SRPM.

Con la opción 2, puede instalar yum security plugin en todos los clientes y funcionará.

Editar: esto también funciona para máquinas Redhat RHEL 5 y 6. Y es más sencillo que usar una solución de gran peso como Spacewalk o Pulp.

Solucion 2:

Scientific Linux ahora puede enumerar las actualizaciones de seguridad desde la línea de comandos. Además, puedo actualizar un sistema para que solo aplique actualizaciones de seguridad, que es mejor que el predeterminado (“¡Solo actualice todo! Incluidas las correcciones de errores que no le interesan y que introducen regresiones”.

He probado esto tanto en Scientific Linux 6.1 como en 6.4. No estoy seguro de cuándo se anunció oficialmente, pero publicaré más cuando me entere.

Aquí hay unos ejemplos.

Enumere un resumen de las actualizaciones de seguridad:

[[email protected] ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
    4 Security notice(s)
        1 important Security notice(s)
        3 moderate Security notice(s)
    2 Bugfix notice(s)
updateinfo summary done

[email protected] ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec.  gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec.  kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec.  kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec.  libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix         selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix         selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done

Lista por CVE:

[[email protected] ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
 * epel: mirrors.kernel.org
 * sl6x: ftp.scientificlinux.org
 * sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
 CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
 CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
 CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
 CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done

Y luego puedo aplicar el conjunto mínimo de cambios necesarios para

[[email protected] ~]# yum update-minimal --security

O simplemente parchear todo:

[[email protected] ~]# yum --quiet --security check-update

gnutls.x86_64                                      2.8.5-14.el6_5                                     sl-security
libtasn1.x86_64                                    2.3-6.el6_5                                        sl-security
[[email protected] ~]# yum --quiet --security update

=================================================================================================================
 Package                 Arch                  Version                          Repository                  Size
=================================================================================================================
Updating:
 gnutls                  x86_64                2.8.5-14.el6_5                   sl-security                345 k
 libtasn1                x86_64                2.3-6.el6_5                      sl-security                237 k

Transaction Summary
=================================================================================================================
Upgrade       2 Package(s)

Is this ok [y/N]: Y
[[email protected] ~]#

Si intento este mismo comando en una caja de CentOS6, no obtengo ningún resultado. Sé con certeza que algunos de los ‘137 paquetes disponibles’ contienen correcciones de seguridad, porque recibí los avisos de erratas ayer a través de las listas de correo de CentOS.

[[email protected] ~]# yum --security check-update 
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: mirrors.kernel.org
 * extras: mirror.web-ster.com
 * updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[[email protected] ~]#

Solución 3:

Yo tuve el mismo problema. Intenté crear un código de Python para reunir las actualizaciones de Yum y los avisos del sitio de erratas de steve-meier mencionado anteriormente (lo filtro según los paquetes instalados).

En caso de que sirva de ayuda, aquí está la fuente: https://github.com/wied03/centos-package-cron


Solución 4:

Scientific Linux (al menos 6.2 y 6.3; no me quedan sistemas 6.1) no solo admite yum-plugin-security pero el archivo de configuración para yum-autoupdate, /etc/sysconfig/yum-autoupdate, le permite habilitar solo la instalación de actualizaciones de seguridad.

# USE_YUMSEC
#   This switches from using yum update to using yum-plugin-security
#     true  - run 'yum --security' update rather than 'yum update'
#     false - defaults to traditional behavior running 'yum update' (default)
#   + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *